Priv: Blackberry plant monatliche Android-Sicherheitsupdates

Blackberry will für sein erstes Android-Smartphone Priv monatlich Sicherheitsupdates bereitstellen. In einem Blogbeitrag betont Chief Security Officer David Kleidermacher, dass es „entscheidend“ sei, Android-Lücken in angemessener Zeit zu schließen. In besonders kritischen Fällen sollen Aktualisierungen auch außer der Reihe und unabhängig vom Provider verteilt werden.

Normalerweise informiert Google Android-Gerätehersteller in einem Security Bulletin monatlich über neu entdeckte Schwachstellen in seinem Mobilbetriebssystem. Um den Herstellern ausreichend Zeit zu geben, einen Patch für ihre Smartphones und Tablets zu entwickeln, macht es die Lücken erst rund einen Monat später öffentlich.

Bei Bedarf stellt Google jeden Monat Patches für seine Nexus-Geräte zur Verfügung. Samsung und LG haben nach den gefährlichen Stagefright-Lücken ebenfalls einen monatlichen Updatezyklus eingeführt, teilweise jedoch beschränkt auf wenige Flaggschiffmodelle.

HTC bezeichnete monatliche Sicherheitsfixes für Android Anfang Oktober hingegen als unrealistisch. Es sieht vor allem Mobilfunkbetreiber als mögliches Hindernis. Denn diese entscheiden normalerweise, wann die von Google bereitgestellten und von den Geräteherstellern an ihre Software angepassten Fixes tatsächlich Over-the-Air verteilt werden.

An diesem Punkt setzt Blackberry mit seinen Hotfixes für kritische Lücken an, für die beispielsweise schon ein funktionierender Exploit zum Ausführen von Malware mit Root-Rechten im Umlauf ist. In diesem Fall sollen Updates falls nötig auch ohne Zutun der Provider direkt auf alle Priv-Modelle aufgespielt werden.

„Weil ein Hotfix normalerweise nicht sehr umfangreich ist, macht das Gleichgewicht zwischen einem längeren Test- und Prüfungsprozess und das von der kritischen Schwachstelle ausgehende Risiko diesen Ansatz zu einer wichtigen Ergänzung, um die Sicherheit der Nutzer aufrechtzuerhalten“, schreibt Kleidermacher. Ihm zufolge könnten Anwender im Idealfall schon 24 Stunden nach Bekanntwerden einer Lücke einen Hotfix erhalten. „Wir werden seitens Blackberry direkt patchen und unsere Carrier-Partner um ihre zügige Zustimmung bitten“, so Kleidermacher weiter. „In einigen Fällen werden wir aber einen Over-the-Air-Fix ohne Zustimmung der Carrier verteilen, falls wir dies für notwendig halten.“

Generell versorgt Blackberry alle Priv-Smartphones, die über seinen Onlineshop gekauft wurden, direkt mit Over-the-Air-Updates, sobald diese verfügbar sind. Geräte, die bei einem Mobilfunkanbieter wie AT&T in den USA gekauft wurden, erhalten Aktualisierungen im Normalfall nach einer Prüfung durch den Provider.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de